Lucene search
RootSSV:12266HistorySep 11, 2009 - 12:00 a.m.
Microsoft JScript脚本引擎Arguments关键字内存破坏漏洞(MS09-045)
2009-09-1100:00:00
Root
www.seebug.org
10
0.926 High
EPSS
Percentile
98.8%
BUGTRAQ ID: 36224
CVE(CAN) ID: CVE-2009-1920
JScript是一种解释性的基于对象的脚本语言。
JScript脚本引擎(JScript.dll)处理网页中脚本的方式存在远程代码执行漏洞。在解析jscript arguments关键字时,由于arguments对象在某一时间之前不可用,调用该对象可能导致内存破坏。
如果用户打开了特制文件或访问了运行脚本的特制网站,这个漏洞可能允许远程执行指令。
Microsoft JScript 5.8
Microsoft JScript 5.7
Microsoft JScript 5.6
Microsoft JScript 5.1
临时解决方法:
- 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行活动脚本之前进行提示,或禁用活动脚本。
- 将Internet 和本地Intranet安全区域设置设为“高”,以便在这些区域中运行ActiveX控件和活动脚本之前进行提示。
厂商补丁:
Microsoft
Microsoft已经为此发布了一个安全公告(MS09-045)以及相应补丁:
MS09-045:Vulnerability in JScript Scripting Engine Could Allow Remote Code Execution (971961)
链接:http://www.microsoft.com/technet/security/bulletin/MS09-045.mspx?pf=true
Related
securityvulns
securityvulns
ZDI-09-062: Microsoft Internet Explorer JScript arguments Invocation Memory Corruption Vulnerability
2009-09-09 00:00:00
Microsoft Security Bulletin MS09-045 - Critical Vulnerability in JScript Scripting Engine Could Allow Remote Code Execution (971961)
2009-09-09 00:00:00
Microsoft Windows JavaScript engine memory corruption
2009-09-09 00:00:00
cvelist
cvelist
CVE-2009-1920
2009-09-08 22:00:00
openvas
openvas
prion
prion
Remote code execution
2009-09-08 22:30:00
zdi
zdi
checkpoint_advisories
checkpoint_advisories
nessus
nessus
cve
cve
CVE-2009-1920
2009-09-08 22:30:00